JIS Q 31000 リスクマネジメント 指針｜最新 JIS規格 一覧｜制定｜改正 更新情報

この規格は，組織が直面するリスクのマネジメントを行うことに関して，適用可能な指針を示す。これらの指針は，あらゆる組織とその状況に合わせて適用することができる。

この規格は，あらゆる種類のリスクのマネジメントを行うための共通の取組み方を提供しており，特定の産業又は部門に限るものではない。

この規格は，組織が存在している限り使用可能であり，あらゆるレベルにおける意思決定を含め，全ての活動に適用できる。

注記 この規格の対応国際規格とその対応の程度を表す記号を，次に示す。

ISO 31000:2018，Risk management－Guidelines（IDT）

なお，対応の程度を表す記号「IDT」は，ISO/IEC Guide 21-1に基づき，「一致している」ことを示す。

この規格には，引用規格はない。

この規格で用いる主な用語と定義は，次による。

なお，ISOとIECは，標準化に使用するための用語上のデータベースを次のアドレスに維持している。

● ISO Online browsing platform: https://www.iso.org/obp

● IEC Electropedia: http://www.electropedia.org/

目的に対する不確かさの影響。

注記1 影響とは，期待されていることからかい（乖）離することをいう。影響には，好ましいもの，好ましくないもの，又はその両方の場合があり得る。影響は，機会又は脅威を示したり，創り出したり，もたらしたりすることがあり得る。

注記2 目的は，様々な側面と分野をもつことがある。また，様々なレベルで適用されることがある。

注記3 一般に，リスクは，リスク源（3.4），起こり得る事象（3.5）とそれらの結果（3.6）並びに起こりやすさ（3.7）として表される。

リスク（3.1）について，組織を指揮統制するための調整された活動。

ある決定事項若しくは活動に影響を与え得るか，その影響を受け得るか又はその影響を受けると認識している，個人又は組織。

注記 「利害関係者」を「ステークホルダ」の代わりに使用することができる。

それ自体又はほかとの組合せによって，リスク（3.1）を生じさせる力を潜在的にもっている要素。

ある一連の周辺状況の出現又は変化。

注記1 事象は，発生が一度以上であることがあり，幾つかの原因と幾つかの結果（3.6）をもつことがある。

注記2 事象は，予想していたが起こらないこと，又は予想していなかったが起きることがある。

注記3 事象がリスク源であることもある。

目的に影響を与える事象（3.5）の結末。

注記1 結果は，確かなことも不確かなこともあり，目的に対して好ましい又は好ましくない直接的影響又は間接的影響を与えることもある。

注記2 結果は，定性的にも定量的にも表現されることがある。

注記3 いかなる結果も，波及的影響と累積的影響によって増大することがある。

何かが起こる可能性。

注記1 リスクマネジメント（3.2）では，「起こりやすさ」という用語は，何かが起こるという可能性を表すために使われる。「起こりやすさ」の定義，測定又は判断は，主観的か若しくは客観的か，又は定性的か若しくは定量的かを問わない。

また，「起こりやすさ」は，一般的な用語を用いて表現するか，又は数学的（例えば，発生確率，所定期間内の頻度など）に表現するかは問わない。

注記2 幾つかの言語では，英語の「likelihood（起こりやすさ）」と全く同じ意味の語がなく，同義語の「probability（発生確率）」がしばしば使用される。しかし，英語の「probability」は，数学用語としてしばしば狭義に解釈される。したがって，リスクマネジメント用語では，英語以外の多くの言語において「probability」がもつような幅広い解釈がなされることが望ましいという意図の下で「likelihood」を使用する。

リスク（3.1）を維持と／又は修正する対策。

注記1 管理策は，リスクを維持と／又は修正するプロセス，方針，方策，実務又はその他の条件と／若しくは活動を含む。ただし，これらに限定されない。

注記2 管理策が，常に意図又は想定した修正効果を発揮するとは限らない。

リスクマネジメントの意義は，価値の創出と保護である。リスクマネジメントは，パフォーマンスを改善し，イノベーションを促進し，目的の達成を支援する。

図2に示す原則は，有効かつ効率的なリスクマネジメントの特徴に関する指針を示し，リスクマネジメントの価値を伝え，リスクマネジメントの意図と意義を説明したものである。原則は，リスクのマネジメントを行うための土台であり，組織のリスクマネジメントの枠組みとプロセスを確立する際には，原則を検討することが望ましい。不確かさが目的に及ぼす影響のマネジメントを行うことが，これらの原則によって可能になることが望ましい。

リスクマネジメントの枠組みの意義は，リスクマネジメントを組織の重要な活動と機能に統合するときに組織を支援することである。リスクマネジメントの有効性は，意思決定を含む組織統治への統合にかかっている。そのためには，ステークホルダ，特にトップマネジメントの支援が必要である。

枠組みの策定は，組織全体におけるリスクマネジメントの統合，設計，実施，評価と改善を含む。図3は，枠組みの構成要素を示したものである。

図3－枠組み

組織は，既存のリスクマネジメントの方策とプロセスを評価し，かい離を分析し，枠組みの中でこれらのかい離に取り組むことが望ましい。

枠組みの構成要素と，それらの構成要素が共に機能する仕方は，組織の必要性に合わせて調整することが望ましい。

トップマネジメントと監督機関（該当する場合）は，リスクマネジメントが組織の全ての活動に統合されることを確実にすることが望ましい。また，次の事項を通じて，リーダーシップとコミットメントを示すことが望ましい。

• ● 枠組みの全ての要素を組織に合わせて実施する。
• ● リスクマネジメントの取組み方，計画又は活動方針を確定する声明又は方針を公表する。
• ● 必要な資源がリスクのマネジメントを行うことに配分されることを確実にする。
• ● 権限，責任とアカウンタビリティを，組織内の適切な階層に割り当てる。
• リーダーシップとコミットメントは，組織の次の事項を促進する。
• ● リスクマネジメントを，組織の目的，戦略と文化と整合させる。
• ● 組織の全ての義務，と組織の任意のコミットメントを認識し，これらに取り組む。
• ● リスク基準の策定の指針として組織が取ることができる，又は取ることができないリスクの大きさと種類を確定し，それらのリスクが組織とステークホルダに伝達されることを確実にする。
• ● リスクマネジメントの価値を組織と組織のステークホルダに伝達する。
• ● リスクの体系的モニタリングを推進する。
• ● リスクマネジメントの枠組みが組織の状況に対して常に適切であることを確実にする。
• トップマネジメントはリスクのマネジメントを行うことに責任を負い，監督機関はリスクマネジメントを監視する責任を負う。監督機関は，しばしば次の事項を行うことを期待され又は必要とされる。
• ● 組織の目的を決定する際にリスクが十分に検討されることを確実にする。
• ● 組織が目的の追求に当たって直面するリスクを理解する。
• ● これらのリスクのマネジメントを行うためのシステムが実施され，有効に運用されることを確実にする。
• ● 組織の目的に照らして，それらのリスクが適切であることを確実にする。
• ● それらのリスクとそれらのマネジメントに関する情報が適切に伝達されることを確実にする。

リスクマネジメントの統合は，組織の体制と状況の理解にかかっている。体制は，組織の意図，目標と複雑さによって異なる。リスクは，組織の体制のあらゆる部分でマネジメントされる。組織の全員が，リスクのマネジメントを行うことに対する責任を負っている。

組織統治は，組織の意図を達成するために，組織の方向性，組織の外部関係と内部関係，並びに規則，プロセスと方策を導く。経営体制は，組織統治の方向性を，望ましいレベルの持続可能なパフォーマンスと長期的な継続性を達成するために必要な戦略と関連する目的へと転換する。組織内部におけるアカウンタビリティと監視の役割の決定は，組織の統治の不可欠な部分である。

リスクマネジメントと組織との統合は，動的かつ反復的なプロセスである。この統合は，組織の必要性と文化に合わせることが望ましい。リスクマネジメントは，組織の意図，組織統治，リーダーシップとコミットメント，戦略，目的並びに業務活動の一部となり，これらと分離していないことが望ましい。

■組織と組織の状況の理解[5.4.1]

リスクのマネジメントを行うための枠組みを設計するに当たって，組織は，外部と内部の状況を検証し，理解することが望ましい。

組織の外部状況の検証には，次の事項が含まれる場合がある。ただし，これらに限らない。

• ● 国際，国内，地方又は近隣地域を問わず，社会，文化，政治，法律，規制，金融，技術，経済と環境に関する要因
• ● 組織の目的に影響を与える，鍵となる原動力と傾向
• ● 外部ステークホルダとの関係，並びに外部ステークホルダの認知，価値観，必要性と期待
• ● 契約上の関係とコミットメント
• ● ネットワークの複雑さ，と依存関係
• 組織の内部状況の検証には，次の事項が含まれる場合がある。ただし，これらに限らない。
• ● ビジョン，使命と価値観
• ● 組織統治，組織体制，役割とアカウンタビリティ
• ● 戦略，目的と方針
• ● 組織の文化
• ● 組織が採用する規格，指針とモデル
• ● 資源と知識として理解される能力（例えば，資本，時間，人員，知的財産，プロセス，システム，技術）
• ● データ，情報システムと情報の流れ
• ● 内部ステークホルダの認知と価値観を考慮に入れた，内部ステークホルダとの関係
• ● 契約上の関係とコミットメント
• ● 相互依存と相互関連

■リスクマネジメントに関するコミットメントの明示[5.4.2]

トップマネジメントと監督機関（該当する場合）は，リスクマネジメントに対する継続的なコミットメントを行動で示し，明示することが望ましい。これは，組織の目的とリスクマネジメントへのコミットメントを明確に伝える方針，声明又はその他の形式で行うことができる。コミットメントには，次の事項を含めることが望ましい。ただし，これらに限らない。

• ● 組織がリスクのマネジメントを行う意義，並びに組織の目的とその他の方針とのつながり
• ● リスクマネジメントを組織全体の文化に統合する必要性を強めること
• ● リスクマネジメントと中核的事業活動と意思決定との統合を主導すること
• ● 権限，責任とアカウンタビリティ
• ● 必要な資源を利用可能にすること
• ● 相反する目的への対処の仕方
• ● 組織のパフォーマンス指標の中での測定と報告
• ● レビューと改善

リスクマネジメントに関するコミットメントを，必要に応じて，組織内とステークホルダに伝達することが望ましい。

■組織の役割，権限，責任とアカウンタビリティの割当て[5.4.3]

トップマネジメントと監督機関（該当する場合）は，リスクマネジメントに関して，関連する役割のアカウンタビリティ，責任と権限が組織のあらゆる階層で割り当てられ，伝達されることを確実にし，次の事項を行うことが望ましい。

• ● リスクマネジメントは，中核的な責務であることを強調する。
• ● リスクのマネジメントを行うためのアカウンタビリティと権限をもつ個人（リスク所有者）を特定する。

■資源の配分[5.4.4]

トップマネジメントと監督機関（該当する場合）は，リスクマネジメントのための適切な資源の割当てを確実にすることが望ましい。資源には，次の事項が含まれる場合がある。ただし，これらに限らない。

• ● 人員，技能，経験と力量
• ● リスクのマネジメントを行うために使用する，組織のプロセス，方法と手段
• ● 文書化されたプロセスと手順
• ● 情報と知識のマネジメントシステム
• ● 専門的な人材開発と教育訓練の必要性

組織は，既存の資源の能力と制約要因を考慮することが望ましい。

■コミュニケーションと協議の確立[5.4.5]

組織は，枠組みを支え，リスクマネジメントの効果的な適用を促進するために，コミュニケーションと協議に対する，認められた取組み方を確立することが望ましい。コミュニケーションは，対象者とする相手との情報共有を含む。また，協議は，意思決定又はその他の活動に寄与し，これらを形成することを期待してフィードバックを提供する参加者をも含む。関連する場合，コミュニケーションと協議の方法と内容は，ステークホルダの期待を反映することが望ましい。

コミュニケーションと協議は，適時に行うことが望ましい。また，関連する情報が適切に収集され，照合され，統合され，共有されること，とフィードバックが提供され，改善がなされることを確実にすることが望ましい。

組織は，次の事項を行うことによって，リスクマネジメントの枠組みを実施することが望ましい。

• ● 時間と資源を含めた適切な計画を策定する。
• ● 様々な種類の決定が，組織全体のどこで，いつ，どのように，また，誰によって下されるのかを特定する。
• ● 必要に応じて，適用される意思決定プロセスを修正する。
• ● リスクのマネジメントを行うことに関する組織の取決めが明確に理解され，実施されることを確実にする。

枠組みの実施を成功させるためには，ステークホルダが参画し，自ら認識することが必要である。これによって，組織は，新たな不確かさ又は後続の不確かさが発生する都度，それらを考慮に入れることを可能にし，また，意思決定において不確かさに明確な形で取り組むことができる。

適切に設計され，実施されたリスクマネジメントの枠組みは，リスクマネジメントプロセスが，意思決定を含め，組織全体の全ての活動の一部になること，並びに外部と内部の状況の変化が適切に取り入れられることを確実にする。

リスクマネジメントの枠組みの有効性を評価するために，組織は，次の事項を行うことが望ましい。

• ● 意義，実施計画，指標と期待される行動に照らして，リスクマネジメントの枠組みのパフォーマンスを定期的に測定する。
• ● リスクマネジメントの枠組みが組織の目的達成を支援するために適した状態か否かを明確にする。

■適応[5.7.1]

組織は，外部と内部の変化に対応できるように，リスクマネジメントの枠組みを継続的にモニタリングし，適応させることが望ましい。それによって，組織は自らの価値を高めることができる。

■継続的改善[5.7.2]

組織は，リスクマネジメントの枠組みの適切性，妥当性と有効性，並びにリスクマネジメントプロセスを統合する方法を継続的に改善することが望ましい。

関連するかい離又は改善の機会が特定された時点で，組織は計画と実施事項を策定し，実施に関してアカウンタビリティをもつ人にそれらを割り当てることが望ましい。これらの改善は，実施された時点でリスクマネジメントの向上に寄与するはずである。

リスクマネジメントプロセスには，方針，手順と方策を，コミュニケーションと協議，状況の確定，並びにリスクのアセスメント，対応，モニタリング，レビュー，記録作成と報告の活動に体系的に適用することが含まれる。このプロセスを図4に示す。

図4 プロセス

リスクマネジメントプロセスは，マネジメントと意思決定における不可欠な部分であることが望ましい。また，組織の体制，業務活動とプロセスに組み込まれていることが望ましい。リスクマネジメントプロセスは，戦略，業務活動，プログラム又はプロジェクトの段階で適用することができる。

組織の目的を達成することに合わせ，かつ，適用される外部と内部の状況に適応するために，組織の中で，リスクマネジメントプロセスが，多数適用されている場合がある。

リスクマネジメントプロセス全体にわたって，人間の行動と文化がもつ動的で可変的な性質を考慮することが望ましい。

リスクマネジメントプロセスは，しばしば逐次的なものとして表されるが，実務では反復的である。

コミュニケーションと協議の意義は，関連するステークホルダが，リスク，意思決定の根拠，と特定の活動が必要な理由が理解できるように支援することである。コミュニケーションは，リスクに対する意識と理解の促進を目指す。一方，協議は，意思決定を裏付けるためのフィードバックと情報の入手を含む。コミュニケーションと協議とを密接に組み合わせることによって，情報の機密性と完全性，並びに個人のプライバシー権を考慮しながら，事実に基づく，時宜を得た，適切で正確かつ理解可能な情報交換が促進される。

適切な外部と内部のステークホルダとのコミュニケーションと協議は，リスクマネジメントプロセスの各段階と全体で実施することが望ましい。

コミュニケーションと協議の狙いは，次のとおりである。

• ● リスクマネジメントプロセスの各段階に関して，異なった領域の専門知識を集める。
• ● リスク基準を定め，リスクを評価する場合には，異なった見解について適切に考慮することを確実にする。
• ● リスク監視と意思決定を促進するために十分な情報を提供する。
• ● リスクの影響を受ける者たちの間に一体感と当事者意識を構築する。

■一般[6.3.1]

適用範囲，状況と基準を確定する意義は，リスクマネジメントプロセスを組織に合わせ，効果的なリスクアセスメントと適切なリスク対応を可能にすることである。適用範囲，状況と基準は，プロセスの適用範囲を定め，外部と内部の状況を理解することを含む。

■適用範囲の決定[6.3.2]

組織は，リスクマネジメント活動の適用範囲を定めることが望ましい。

リスクマネジメントプロセスは，様々なレベル（例えば，戦略，業務活動，プログラム，プロジェクト又はその他の活動）で適用されるため，検討の対象となる適用範囲，検討の対象となる関連目的，並びにそれらと組織の目的との整合を明確にすることが重要である。

取組み方を計画する際の検討事項は，次を含む。

• ● 目的，と下す必要のある決定
• ● プロセスにおいてとられる対策によって期待される結末
• ● 時間，場所，個々の包含と除外
• ● 適切なリスクアセスメントの手段と手法
• ● 必要とされる資源，責任，と残すべき記録
• ● 他のプロジェクト，プロセスと活動との関係

■外部と内部の状況[6.3.3]

外部と内部の状況とは，組織が自らの目的を定め，その目的を達成しようとする状態を取り巻く環境である。

リスクマネジメントプロセスの状況は，組織が業務活動を行う外部と内部の環境の理解から確定されることが望ましい。また，リスクマネジメントプロセスが適用される活動の個々の環境を反映することが望ましい。

状況の理解は，次に示す理由で重要である。

• ● リスクマネジメントは，組織の目的と活動に沿って実施される。
• ● 組織要因がリスク源になることがある。
• ● リスクマネジメントプロセスの意義と範囲が，組織全体の目的と相互に関係していることがある。
• ● 組織は，5.4.1に挙げた要因を考慮することによって，リスクマネジメントプロセスの外部と内部の状況を確立することが望ましい。

■リスク基準の決定[6.3.4]

組織は，目的に照らして，取ってもよいリスク又は取ってはならないリスクの大きさと種類を規定することが望ましい。組織はまた，リスクの重大性を評価し，意思決定プロセスを支援するための基準を決定することが望ましい。リスク基準は，リスクマネジメントの枠組みと整合させ，検討対象になっている活動に特有の意義と範囲にリスク基準を合わせることが望ましい。リスク基準は，組織の価値観，目的と資源を反映し，リスクマネジメント方針と声明と一致していることが望ましい。基準は，組織の義務とステークホルダの見解を考慮に入れて規定することが望ましい。

リスク基準は，リスクアセスメントプロセスの開始時に確定することが望ましいが，リスク基準は動的であるため，継続的にレビューを行い，必要に応じて修正することが望ましい。

リスク基準を設定するに当たっては，次の事項を考慮することが望ましい。

• ● 結末と目的（有形と無形の両方）に影響を与える不確かさの特質と種類
• ● 結果（好ましい結果と好ましくない結果の両方）と起こりやすさをどのように定め，また，測定するか。
• ● 時間に関連する要素
• ● 測定法の一貫性
• ● リスクレベルをどのように決定するか。
• ● 複数のリスクの組合せと順序をどのように考慮に入れるか。
• ● 組織の能力

■一般[6.4.1]

リスクアセスメントとは，リスク特定，リスク分析とリスク評価を網羅するプロセス全体を指す。

リスクアセスメントは，ステークホルダの知識と見解を生かし，体系的，反復的，協力的に行われることが望ましい。必要に応じて，追加的な調査で補完し，利用可能な最善の情報を使用することが望ましい。

■リスク特定[6.4.2]

リスク特定の意義は，組織の目的の達成を助ける又は妨害する可能性のあるリスクを発見し，認識し，記述することである。リスクの特定に当たっては，現況に即した，適切で最新の情報が重要である。

組織は，一つ以上の目的に影響するかもしれない不確かさを特定するために，様々な手法を使用することができる。次の要素，とこれらの要素間の関係を考慮することが望ましい。

• ● 有形と無形のリスク源
• ● 原因と事象
• ● 脅威と機会
• ● ぜい（脆）弱性と能力
• ● 外部と内部の状況の変化
• ● 新たに発生するリスクの指標
• ● 資産と組織の資源の性質と価値
• ● 結果と結果が目的に与える影響
• ● 知識の限界と情報の信頼性
• ● 時間に関連する要素
• ● 関与する人の先入観，前提と信条

組織は，リスク源が組織の管理下にあるか否かを問わず，リスクを特定することが望ましい。様々な有形又は無形の結果をもたらす可能性のある2種類以上の結末が存在するかもしれないことを考慮することが望ましい。

■リスク分析[6.4.3]

リスク分析の意義は，必要に応じてリスクのレベルを含め，リスクの性質と特徴を理解することである。リスク分析には，不確かさ，リスク源，結果，起こりやすさ，事象，シナリオ，管理策と管理策の有効性の詳細な検討が含まれる。一つの事象が複数の原因と結果をもち，複数の目的に影響を与えることがある。

リスク分析は，分析の意義，情報の入手可能性と信頼性，並びに利用可能な資源に応じて，様々な詳細さと複雑さの度合いで行うことができる。分析手法は，周辺状況と意図する用途に応じて，定性的，定量的，又はそれらを組み合わせたものにすることができる。

リスク分析では，例えば，次の要素を検討することが望ましい。

• ● 事象の起こりやすさと結果
• ● 結果の性質と大きさ
• ● 複雑さと結合性
• ● 時間に関係する要素と変動性
• ● 既存の管理策の有効性
• ● 機微性と機密レベル

リスク分析は，意見の相違，先入観，リスクの認知と判断によって影響されることがある。その他の影響としては，使用する情報の質，加えられた前提と除外された前提，手法の限界，並びに実行方法が挙げられる。これらの影響を検討し，文書化し，意思決定者に伝達することが望ましい。

非常に不確かな事象は，定量化が困難なことがある。重大な結果をもたらす事象を分析する場合，これは課題になる。このような場合は，一般的に手法の組合せを用いることによって洞察が深まる。

リスク分析は，リスク評価へのインプット，リスク対応の必要性と方法，並びに最適なリスク対応の戦略と方法の決定へのインプットを提供する。結果は，選択を行う場合に決定を下すための洞察力を提供する。また，選択肢は，様々な種類とレベルのリスクを伴う。

■リスク評価[6.4.4]

リスク評価の意義は，決定を裏付けることである。リスク評価は，どこに追加の行為をとるかを決定するために，リスク分析の結果と確立されたリスク基準との比較を含む。これによって，次の事項の決定がもたらされる。

• ● 更なる活動は行わない。
• ● リスク対応の選択肢を検討する。
• ● リスクをより深く理解するために，更なる分析に着手する。
• ● 既存の管理策を維持する。
• ● 目的を再考する。

意思決定では，より広い範囲の状況，並びに外部と内部のステークホルダにとっての実際の結果と認知された結果を考慮することが望ましい。

組織の適切なレベルで，リスク評価の結果を記録し，伝達し，更に検証することが望ましい。

■一般[6.5.1]

リスク対応の意義は，リスクに対処するための選択肢を選定し，実施することである。

リスク対応には，次の事項の反復的プロセスが含まれる。

• ● リスク対応の選択肢の策定と選定
• ● リスク対応の計画と実施
• ● その対応の有効性の評価
• ● 残留リスクが許容可能かどうかの判断
• ● 許容できない場合は，更なる対応の実施

■リスク対応の選択肢の選定[6.5.2]

最適なリスク対応の選択肢の選定には，目的の達成に関して得られる便益と，実施の費用，労力又は不利益との均衡をとることが含まれる。

リスク対応の選択肢は，必ずしも相互に排他的なものではなく，また，全ての周辺状況に適切であるとは限らない。リスク対応の選択肢には，次の事項の一つ以上が含まれてもよい。

• ● リスクを生じさせる活動を開始又は継続しないと決定することによってリスクを回避する。
• ● ある機会を追求するために，リスクを取る又は増加させる。
• ● リスク源を除去する。
• ● 起こりやすさを変える。
• ● 結果を変える。
• ● （例えば，契約，保険購入によって）リスクを共有する。
• ● 情報に基づいた意思決定によって，リスクを保有する。

リスク対応の根拠は，単なる経済的な考慮事項より幅広いため，組織の義務，任意のコミットメントとステークホルダの見解の全てを考慮に入れることが望ましい。リスク対応の選択肢の選定は，組織の目的，リスク基準と利用可能な資源に基づいて行われることが望ましい。

リスク対応の選択肢を選定する際に，組織は，ステークホルダの価値観，認知と関与の可能性，並びにステークホルダとのコミュニケーションと協議に最適な仕方を考慮することが望ましい。有効性は同じでも，ステークホルダによってリスク対応策の受け入れやすさは異なることがある。

慎重に設計し，実施したとしても，リスク対応は予想した結末を生まないかもしれないし，意図しない結果をもたらすこともある。様々な形態のリスク対応を有効にし，その有効性が維持されることを保証するためには，モニタリングとレビューをリスク対応実施の一体部分とする必要がある。

リスク対応が，新たにマネジメントを行うことが必要なリスクをもたらす可能性もある。

利用可能なリスク対応の選択肢がない場合，又はリスク対応の選択肢によってリスクが十分に変化しない場合には，そのリスクを記録し，継続的なレビューの対象とすることが望ましい。

意思決定者とその他のステークホルダは，リスク対応後の残留リスクの性質と程度を知ることが望ましい。残留リスクは，文書化し，モニタリングしとレビューし，並びに必要に応じて追加的対応の対象とすることが望ましい。

■リスク対応計画の準備と実施[6.5.3]

リスク対応計画の意義は，関与する人々が取決めを理解し，計画に照らして進捗状況をモニタリングできるように，選定した対応選択肢をどのように実施するかを規定することである。対応計画には，リスク対応を実施する順序を明記することが望ましい。

対応計画は，適切なステークホルダと協議の上で，組織の経営計画とプロセスに統合されることが望ましい。

対応計画で提供される情報には，次の事項を含めることが望ましい。

• ● 期待される取得便益を含めた，対応選択肢の選定の理由
• ● 計画の承認と実施に関してアカウンタビリティと責任をもつ人
• ● 提案された活動
• ● 不測の事態への対応を含む，必要とされる資源
• ● パフォーマンスの尺度
• ● 制約要因
• ● 必要な報告とモニタリング
• ● 活動が実行され，完了することが予想される時期

モニタリングとレビューの意義は，プロセスの設計，実施と結末の質と効果を保証し，改善することである。責任を明確に定めた上で，リスクマネジメントプロセスとその結末の継続的モニタリングと定期的レビューを，リスクマネジメントプロセスの計画的な部分とすることが望ましい。

モニタリングとレビューは，プロセスの全ての段階で行うことが望ましい。モニタリングとレビューは，計画，情報の収集と分析，結果の記録作成，並びにフィードバックの提供を含む。

モニタリングとレビューの結果が，組織のパフォーマンスマネジメント，測定と報告活動全体に組み込まれることが望ましい。

適切な仕組みを通じて，リスクマネジメントプロセスとその結末を文書化し，報告することが望ましい。記録作成と報告の狙いは，次のとおりである。

• ● 組織全体にリスクマネジメント活動と結末を伝達する。
• ● 意思決定のための情報を提供する。
• ● リスクマネジメント活動を改善する。
• ● リスクマネジメント活動の責任とアカウンタビリティをもつ人々を含めたステークホルダとのやり取りを補助する。

文書化した情報の作成，保持と取扱いに関する意思決定に際しては，情報の用途，情報の機微性，並びに外部と内部の状況を考慮することが望ましいが，考慮する事項はこれらに限らない。

報告は，組織の統治の不可欠な部分であり，ステークホルダとの会話の質を高め，トップマネジメントと監督機関が責任を果たすことができるように支援することが望ましい。報告に当たって考慮すべき要素には，次の事項が含まれる。ただし，これらに限らない。

• ● 様々なステークホルダ，並びにそれらのステークホルダに特有の情報の必要性と要求事項
• ● 報告の費用，頻度と適時性
• ● 報告の方法
• ● 情報と組織の目的と意思決定との関連性